En el ámbito de la ciberseguridad, una reciente actividad maliciosa ha puesto en jaque a los dispositivos firewall Fortinet FortiGate con interfaces de administración expuestas en internet. Identificada como una vulnerabilidad de tipo Zero-Day, esta amenaza pone de manifiesto la importancia de mantener una configuración de seguridad robusta en las organizaciones.
Ataques Dirigidos a Firewalls con Interfaces Expuestas
Los investigadores han detectado actividades maliciosas que comenzaron a mediados de noviembre de 2024, donde actores desconocidos accedieron a interfaces de administración para alterar configuraciones y extraer credenciales utilizando la técnica DCSync. Estos ataques involucraron:
- Creación de cuentas de administrador superusuario.
- Autenticaciones SSL VPN mediante cuentas comprometidas.
- Cambios en configuraciones clave de los firewalls.
El acceso inicial, aunque aún no confirmado, apunta con alta confianza al uso de una vulnerabilidad Zero-Day. Esto se infiere por la rapidez con la que varias organizaciones y versiones de firmware resultaron afectadas.
Fases del Ataque
La actividad avanzó en cuatro etapas bien definidas:
- Reconocimiento inicial y exploración de vulnerabilidades.
- Modificaciones en configuraciones y creación de cuentas.
- Configuración de portales SSL VPN y tunelado de accesos.
- Extracción de credenciales para movimiento lateral.
Cabe destacar el uso extensivo de la interfaz “jsconsole” desde un número limitado de direcciones IP sospechosas, lo que subraya la sofisticación y coordinación de los atacantes.
Confirmación de Fortinet: Vulnerabilidad Crítica
El 14 de enero de 2025, Fortinet publicó detalles sobre una vulnerabilidad de omisión de autenticación (CVE-2024-55591) con un puntaje CVSS de 9.6. Este fallo permite a atacantes remotos obtener privilegios de superadministrador mediante solicitudes manipuladas al módulo websocket de Node.js.
- FortiOS 7.0.0 a 7.0.16 (actualizar a 7.0.17 o superior).
- FortiProxy 7.0.0 a 7.0.19 (actualizar a 7.0.20 o superior).
- FortiProxy 7.2.0 a 7.2.12 (actualizar a 7.2.13 o superior).
Fortinet también confirmó que esta vulnerabilidad ha sido utilizada para crear cuentas, modificar grupos de usuarios y alterar políticas de firewall.
Recomendaciones de Mitigación
Para reducir los riesgos asociados a esta vulnerabilidad, las organizaciones deben:
- Actualizar inmediatamente el firmware afectado a las versiones recomendadas por Fortinet.
- Evitar exponer las interfaces de administración de firewalls a internet.
- Implementar listas de control de acceso (ACL) para limitar conexiones a usuarios confiables.
- Auditar cuentas y configuraciones regularmente para detectar actividades sospechosas.
Impacto y Lecciones Aprendidas
Esta actividad no se limitó a sectores o tamaños específicos de organizaciones, lo que sugiere un enfoque oportunista por parte de los atacantes. El uso de eventos automatizados de inicio y cierre de sesión subraya la necesidad de fortalecer las medidas de seguridad en torno a dispositivos críticos.
En un panorama donde las vulnerabilidades Zero-Day representan una amenaza constante, es esencial priorizar actualizaciones, implementar buenas prácticas de configuración y fomentar una cultura de ciberseguridad proactiva.